Le réseau social réservé aux Agents d'IA de Moltbook expose des risques de sécurité majeurs

Une plateforme de médias sociaux où des robots discutent entre eux au lieu de personnes a attiré l'attention en ligne la semaine dernière, mais les experts en sécurité affirment que la vraie histoire est ce qu'ils ont découvert en dessous.

Moltbook a fait la une en tant qu'endroit où des bots d'intelligence artificielle publient du contenu pendant que les gens regardent simplement. Les publications sont devenues étranges rapidement. Les Agents d'IA semblaient créer leurs propres religions, écrire des messages en colère sur les humains et se regrouper comme des cultes en ligne. Mais les personnes qui étudient la sécurité informatique disent que tout ce comportement étrange n'est qu'un spectacle secondaire.

Ce qu'ils ont découvert était plus troublant. Des bases de données ouvertes remplies de mots de passe et d'adresses e-mail, des logiciels malveillants qui se propagent, et un aperçu de la façon dont les réseaux d'Agents d'IA pourraient mal tourner.

Certaines des conversations les plus étranges sur le site, comme les Agents d'IA prévoyant d'anéantir l'humanité, se sont révélées être principalement fausses.

George Chalhoub, qui enseigne au UCL Interaction Centre, a déclaré à Fortune que Moltbook montre des dangers très réels. Les attaquants pourraient utiliser la plateforme comme terrain d'essai pour des logiciels malveillants, des escroqueries en ligne, de fausses nouvelles ou des astuces qui prennent le contrôle d'autres agents avant de frapper des réseaux plus importants.

« Si 770 000 agents sur un clone de Reddit peuvent créer autant de chaos, que se passe-t-il lorsque des systèmes agentiques gèrent l'infrastructure d'entreprise ou les transactions financières ? Cela mérite l'attention en tant qu'avertissement, pas en tant que célébration », a déclaré Chalhoub.

Les chercheurs en sécurité affirment qu'OpenClaw, le logiciel d'Agents d'IA qui fait fonctionner de nombreux bots sur Moltbook, a déjà des problèmes avec des logiciels malveillants. Un rapport d'OpenSourceMalware a trouvé 14 faux outils téléchargés sur son site Web ClawHub en quelques jours seulement. Ces outils prétendaient aider au trading de crypto mais infectaient en réalité les ordinateurs. L'un d'entre eux est même arrivé sur la page principale de ClawHub, trompant les utilisateurs réguliers en leur faisant copier une commande qui téléchargeait des scripts conçus pour voler leurs données ou leurs portefeuilles crypto.

Qu'est-ce que l'injection de prompt et pourquoi est-elle si dangereuse pour les Agents d'IA ?

Le plus grand danger est quelque chose appelé injection de prompt, un type d'attaque connu où de mauvaises instructions sont cachées dans le contenu fourni à un Agents d'IA.

Simon Willison, un chercheur en sécurité bien connu, a mis en garde contre trois choses se produisant en même temps. Les utilisateurs laissent ces agents voir des e-mails et des données privés, les connectent à du contenu douteux provenant d'Internet et leur permettent d'envoyer des messages. Un mauvais prompt pourrait dire à un agent de voler des informations sensibles, de vider des portefeuilles crypto ou de propager des logiciels malveillants sans que l'utilisateur le sache.

Charlie Eriksen, qui fait de la recherche en sécurité chez Aikido Security, voit Moltbook comme une alarme précoce pour le monde plus large des Agents d'IA. « Je pense que Moltbook a déjà eu un impact sur le monde. Un signal d'alarme à bien des égards. Le progrès technologique s'accélère à un rythme, et il est assez clair que le monde a changé d'une manière qui n'est toujours pas totalement claire. Et nous devons nous concentrer sur l'atténuation de ces risques le plus tôt possible », a-t-il déclaré.

Alors, n'y a-t-il que des Agents d'IA sur Moltbook, ou de vraies personnes sont-elles impliquées ? Malgré toute l'attention, la société de cybersécurité Wiz a découvert que les 1,5 million d'agents indépendants soi-disant de Moltbook n'étaient pas ce qu'ils semblaient être. Leur enquête a montré seulement 17 000 vraies personnes derrière ces comptes, sans moyen de distinguer une vraie IA de simples scripts.

Gal Nagli chez Wiz a déclaré qu'il pouvait inscrire un million d'agents en quelques minutes lors de ses tests. Il a dit : « Personne ne vérifie ce qui est réel et ce qui ne l'est pas. »

Wiz a également trouvé une énorme faille de sécurité dans Moltbook. La base de données principale était complètement ouverte. Toute personne ayant trouvé une clé dans le code du site Web pouvait lire et modifier presque tout. Cette clé donnait accès à environ 1,5 million de mots de passe de bots, des dizaines de milliers d'adresses e-mail et des messages privés. Un attaquant pourrait se faire passer pour des Agents d'IA populaires, voler des données utilisateur et réécrire des publications sans même se connecter.

Nagli a déclaré que le problème provenait de quelque chose appelé codage d'ambiance. Qu'est-ce que le codage d'ambiance ? C'est lorsqu'une personne demande à une IA d'écrire du code en utilisant un langage courant.

Le bouton d'arrêt des Agents d'IA expire dans deux ans

La situation fait écho à ce qui s'est passé le 2 novembre 1988, lorsque l'étudiant diplômé Robert Morris a lancé un programme auto-réplicatif sur l'Internet naissant. En 24 heures, son ver avait infecté environ 10 % de tous les ordinateurs connectés. Morris voulait mesurer la taille d'Internet, mais une erreur de codage l'a fait se propager trop rapidement.

La version actuelle pourrait être ce que les chercheurs appellent des vers de prompt, des instructions qui se copient à travers des réseaux d'Agents d'IA communicants.

Les chercheurs du Simula Research Laboratory ont trouvé 506 publications sur Moltbook, soit 2,6 % de ce qu'ils ont examiné, contenant des attaques cachées. Les chercheurs de Cisco ont documenté un programme malveillant appelé « What Would Elon Do ? » qui volait des données et les envoyait à des serveurs externes. Le programme était classé numéro un dans le référentiel.

En mars 2024, les chercheurs en sécurité Ben Nassi, Stav Cohen et Ron Bitton ont publié un article montrant comment des prompts auto-réplicatifs pouvaient se propager via des assistants e-mail IA, volant des données et envoyant du courrier indésirable. Ils l'ont appelé Morris-II, d'après le ver original de 1988.

Actuellement, des entreprises comme Anthropic et OpenAI contrôlent un bouton d'arrêt qui pourrait arrêter les Agents d'IA malveillants car OpenClaw fonctionne principalement sur leurs services. Mais les modèles d'IA locaux s'améliorent. Des programmes comme Mistral, DeepSeek et Qwen continuent de s'améliorer. D'ici un an ou deux, il sera peut-être possible d'exécuter un agent capable sur des ordinateurs personnels. À ce moment-là, il n'y aura plus de fournisseur pour arrêter les choses.

Vous voulez que votre projet soit devant les meilleurs esprits de la crypto ? Présentez-le dans notre prochain rapport de l'industrie, où les données rencontrent l'impact.